كشف مشروع “Glasswing” الذي تقوده شركة Anthropic، عن اكتشاف أكثر من 10,000 ثغرة أمنية عالية أو حرجة في برمجيات عالمية ذات أهمية استراتيجية، وذلك منذ إطلاق المبادرة المعنية بالأمن السيبراني الشهر الماضي. يمثل هذا الإنجاز خطوة هامة في مساعي تحسين الأمن السيبراني.
يُعد مشروع “Glasswing” مبادرة رائدة تهدف إلى تسخير قدرات نماذج الذكاء الاصطناعي المتقدمة لتحديد نقاط الضعف في الأنظمة البرمجية. وقد أتاح هذا المشروع لمجموعة محدودة من الشركاء الوصول إلى نموذج “Claude Mythos Preview” المتطور، الذي يمتلك قدرات فريدة في اكتشاف الثغرات ببرامج منتشرة على نطاق واسع.
مساهمة Project Glasswing في تعزيز الأمن السيبراني
من بين الثغرات المكتشفة، تم تصنيف 6,202 ثغرة على أنها عالية أو حرجة، وتؤثر على أكثر من 1,000 مشروع مفتوح المصدر. وبعد إجراء تحليل دقيق لهذه الثغرات المرشحة، تبين أن 1,726 منها صحيحة. كما تم تقييم 1,094 ثغرة أخرى بأنها تأتي ضمن الفئات الحرجة أو العالية الأهمية.
من الأمثلة البارزة على هذه الاكتشافات، ثغرة حرجة في برنامج WolfSSL (برقم CVE-2026-5194، وبدرجة خطورة 9.1 وفقاً لنظام CVSS)، والتي كان من الممكن أن تسمح للمهاجم بتزوير شهادات واعتماد هوية جهة شرعية. وقد أدت هذه الجهود مجتمعة إلى تصحيح 97 ثغرة عبر المصادر الأصلية وإصدار 88 تنبيهاً أمنياً.
التحديات والفرص في عالم البرمجيات
تقر Anthropic بأن “سهولة اكتشاف الثغرات نسبياً، مقارنة بصعوبة إصلاحها، تشكل تحدياً كبيراً للأمن السيبراني”. وتؤكد الشركة أن “مواجهة هذا التحدي بنجاح ستجعل برمجياتنا أكثر أماناً بكثير مقارنة بما كانت عليه سابقاً”.
يأتي هذا التطور في وقت تقوم فيه الشركات المصنعة للبرمجيات بشحن عدد أكبر من الإصلاحات الأمنية أكثر من أي وقت مضى. ويُعزى هذا الارتفاع بشكل كبير إلى زيادة اكتشاف الثغرات بمساعدة الذكاء الاصطناعي. ووفقاً لشركة Microsoft، فإن عدد التحديثات الجديدة المتوقع إصدارها شهرياً “سيستمر في الاتجاه التصاعدي لفترة من الوقت”.
في سياق متصل، وصفت منصة الأمن الهجومي المستقلة XBOW نموذج Mythos Preview بأنه “تقدم كبير” و”أفضل بكثير من النماذج السابقة في العثور على مرشحات الثغرات”. وأضافت أنه “بارع في تحليل الكود المصدري بمنظور أمني”، مشيرة إلى أن التحليلات الأخيرة أظهرت تفوق النموذج في تحويل الثغرات إلى سلاسل هجوم كاملة.
تطبيقات أوسع للذكاء الاصطناعي في الأمن
أوضحت Anthropic أن فائدة نموذج Mythos Preview تتجاوز مجرد اكتشاف الثغرات الأمنية. ففي إحدى الحالات، يُقال إن أحد البنوك الشريكة لمشروع Glasswing قد استغل نموذج الذكاء الاصطناعي لاكتشاف ومنع تحويل سلكي احتيالي بقيمة 1.5 مليون دولار، وذلك بعد أن اخترق طرف خارجي حساب أحد العملاء عبر البريد الإلكتروني وأجرى مكالمات هاتفية مخادعة.
ونظراً لأنه من المحتمل أن تتوفر نماذج ذات قدرات مشابهة لـ Mythos على نطاق واسع في المستقبل القريب، تحث Anthropic مطوري البرمجيات على تقصير دورات إصدار التحديثات الأمنية وإتاحتها بأسرع ما يمكن. من الجدير بالذكر هنا أن شركة Oracle قد تحولت مؤخراً إلى دورة إصدار تحديثات شهرية لمعالجة المشكلات الأمنية الحرجة.
دعم الاستجابة السيبرانية
أوصت Anthropic بأن “يقوم المدافعون عن الشبكات بتقصير جداول اختبار ونشر التحديثات الأمنية الخاصة بهم”. وتابعت قائلة: “يشمل ذلك خطوات مثل تقوية التكوينات الافتراضية للشبكات، وفرض المصادقة متعددة العوامل، والاحتفاظ بسجلات شاملة للكشف والاستجابة.”
كما أعلنت الشركة عن إطلاق برنامج التحقق السيبراني (Cyber Verification Program)، الذي يسمح لمتخصصي الأمن باستخدام نماذجها بدون قيود لأغراض مشروعة مثل البحث عن الثغرات، واختبار الاختراق، وفريق الهجوم المحاكي (Red Teaming). ويذكر أن هذا البرنامج يشبه إلى حد كبير مبادرة “Daybreak” من OpenAI، التي تسمح للمدافعين باستغلال نموذج GPT-5.5-Cyber لمهام عمل متخصصة.
لا تزال النماذج مثل Mythos Preview و GPT-5.5-Cyber غير متاحة للجمهور، وذلك نظراً للمخاوف الحالية بشأن عدم وجود ضمانات كافية لمنع إساءة استخدامها على نطاق واسع. وتختتم Anthropic التأكيد على أن “Glasswing يساعد المدافعين السيبرانيين الأكثر أهمية في الحصول على ميزة غير متكافئة.” وتضيف: “ومع ذلك، هناك حاجة ملحة لعدد أكبر من المؤسسات لتعزيز دفاعاتها السيبرانية. ونأمل أن تدعم نماذجنا المتاحة للجميع، والأدوات والموارد والأبحاث الجديدة التي نوفرها، هذه المؤسسات في تحسين وضعها الأمني السيبراني.”